ホーム > 情報処理安全確保支援士試験 > 2019年 秋期
情報処理安全確保支援士試験 2019年 秋期 午前2 問05
ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。
ア:IP アドレスの変換が行われるので,内部のネットワーク構成を外部から隠蔽できる。
イ:暗号化されたパケットのデータ部を復号して,許可された通信かどうかを判断できる。
ウ:過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。(正解)
エ:パケットのデータ部をチェックして,アプリケーション層での不正なアクセスを防止できる。
解説
ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか【午前2 解説】
要点まとめ
- 結論:ダイナミックパケットフィルタリングは、過去の通信状態を参照し戻りパケットを許可する機能が特徴です。
- 根拠:状態を持つフィルタリングにより、単純なパケット単位の判定ではなく通信の流れを追跡し安全性を高めます。
- 差がつくポイント:単なる静的なIPやポート番号のチェックではなく、通信の「状態管理」ができる点を理解しましょう。
正解の理由
選択肢ウは「過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる」とあります。これはダイナミックパケットフィルタリング(ステートフルインスペクション)の本質であり、通信の状態を追跡して戻りパケットを許可することで、より柔軟かつ安全な通信制御を実現します。単純なパケットフィルタリングでは戻りパケットを許可できず、通信が成立しません。
よくある誤解
ダイナミックパケットフィルタリングは単なるIPアドレスの変換や暗号化解除を行うものではありません。また、アプリケーション層の詳細な解析は行わず、主にネットワーク層とトランスポート層の状態管理に特化しています。
解法ステップ
- 「ダイナミックパケットフィルタリング」の意味を確認する。
- 静的パケットフィルタリングとの違いを理解する。
- 状態を持つフィルタリング(ステートフルインスペクション)であることを認識する。
- 選択肢の内容を通信の状態管理の観点から検証する。
- 戻りパケットを許可できる選択肢を正解と判断する。
選択肢別の誤答解説
- ア: IPアドレスの変換はNATの機能であり、ダイナミックパケットフィルタリングの特徴ではありません。
- イ: 暗号化されたパケットの復号はファイアウォールの基本機能ではなく、専用のプロキシやIDS/IPSの役割です。
- ウ: 過去の通信状態を参照し戻りパケットを許可する機能はダイナミックパケットフィルタリングの本質です。
- エ: アプリケーション層の不正アクセス防止はアプリケーション層ゲートウェイ(プロキシ)や次世代ファイアウォールの機能であり、ダイナミックパケットフィルタリングの範囲外です。
補足コラム
ダイナミックパケットフィルタリングは「ステートフルインスペクション」とも呼ばれ、通信の状態(セッション情報)を保持してパケットを判断します。これにより、単なるパケット単位の静的フィルタリングよりも柔軟で安全な通信制御が可能です。現代の多くのファイアウォールはこの機能を標準搭載しています。
FAQ
Q: ダイナミックパケットフィルタリングはどの層で動作しますか?
A: 主にネットワーク層とトランスポート層で動作し、通信の状態を管理します。
A: 主にネットワーク層とトランスポート層で動作し、通信の状態を管理します。
Q: 静的パケットフィルタリングとの違いは何ですか?
A: 静的は単一パケットのヘッダ情報のみで判定し、ダイナミックは通信の状態を追跡して戻りパケットを許可します。
A: 静的は単一パケットのヘッダ情報のみで判定し、ダイナミックは通信の状態を追跡して戻りパケットを許可します。
関連キーワード: ダイナミックパケットフィルタリング, ステートフルインスペクション, ファイアウォール, ネットワークセキュリティ, パケットフィルタリング